Je suis en train de re-ip adresser un grand nombre d'emplacements distants, qui utilisent tous une configuration Cisco GET VPN / GDOI pour le chiffrement du trafic. Dans le processus, j'ai également voulu revoir la configuration pour m'assurer que nous suivions les meilleures pratiques.
J'ai consulté le guide de configuration et le guide de déploiement de Cisco GET VPN , mais je n'ai pas trouvé de bonne réponse à cette question:
Est-il recommandé d'utiliser une interface de bouclage ou physique comme interface de terminaison du trafic chiffré?
Actuellement, la configuration utilise l'interface physique Gig0 / 0 pour terminer le trafic chiffré. Cependant, pour simplifier certaines des autres modifications impliquées, je voudrais utiliser l'interface Loopback0 à cette fin. Sur la route, certains de ces sites recevraient des liaisons montantes redondantes, et je crois comprendre que je pourrais utiliser l'interface Loopback pour mettre fin aux deux connexions chiffrées.
Voici deux exemples, la configuration existante et la façon dont je comprends que je devrais configurer le routeur pour utiliser le Loopback. Je pense que je n'aurais qu'à ajouter la commande suivante au GM:
crypto map %MAPNAME local-address Loopback0
L'adresse GM devrait alors également être modifiée sur le serveur de clés; à ma connaissance, c'est le seul changement sur le KS.
Un échantillon de la configuration existante:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
identity number 10
server address ipv4 10.100.1.1
server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP 10 gdoi
set group GDOI-MPLS-GROUP-10
!
interface Loopback0
ip address 10.129.110.125 255.255.255.252
!
interface GigabitEthernet0/0
description MPLS-Connection
ip address 10.101.44.2 255.255.255.248
ip virtual-reassembly
ip tcp adjust-mss 1300
duplex full
speed 100
no cdp enable
crypto map CM-STATIC-MAP
!
Un exemple utilisant le bouclage comme interface de terminaison:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key %KEY address 10.100.1.1
crypto isakmp key %KEY address 10.100.2.1
!
crypto ipsec df-bit clear
crypto gdoi group GDOI-MPLS-GROUP-10
identity number 10
server address ipv4 10.100.1.1
server address ipv4 10.100.2.1
!
crypto map CM-STATIC-MAP local-address Loopback0
crypto map CM-STATIC-MAP 10 gdoi
set group GDOI-MPLS-GROUP-10
!
interface Loopback0
ip address 10.129.110.101 255.255.255.252
!
interface GigabitEthernet0/0
description MPLS-Connection
ip address 10.101.24.2 255.255.255.248
ip tcp adjust-mss 1300
duplex full
speed 100
no cdp enable
crypto map CM-STATIC-MAP
!